JAKARTA – Kementerian Komunikasi dan Informatika (Kominfo) membenarkan bahwa data peserta BPJS Kesehatan dibobol oleh hacker. Data yang seharusnya rahasia itu dijual di forum internet RaidForum oleh akun bernama Kotz.
Akun Kotz menawarkan 279 juta data penduduk Indonesia dengan tanggal posting 12 Mei 2021. Kotz juga mengklaim akan menyediakan 1 juta data yang bisa diunduh gratis sebagai sampel.
Dari link yang diunduh Jawa Pos, data yang disimpan dalam format Microsoft Excel itu memuat informasi seperti nama, nomor kepesertaan, nomor telepon, dan sebagainya.
Kabar itu sebenarnya telah mencuat pada 20 Mei. Kominfo juga melakukan investigasi beberapa hari yang lalu. Namun, baru kemarin Kominfo mengonfirmasi bahwa data peserta BPJS Kesehatan benar-benar bocor dan dimiliki Kotz. ”Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller),” kata Jubir Kominfo Dedy Permadi.
Dia menyebutkan, data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual. Yang benar hanya 100.002 data. Hal tersebut didasarkan pada data noka (nomor kartu), kode kantor, data keluarga/data tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.
Dedy menyatakan, pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas. Caranya adalah dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. Terdapat tiga tautan yang teridentifikasi, yakni bayfiles.com, mega.nz, dan anonfiles.com. Hingga tadi malam baru dua tautan pertama yang bisa di-takedown.
Dedy menyebut, Kominfo telah memanggil direksi BPJS Kesehatan. Pemanggilan itu merupakan bagian dari proses investigasi secara lebih dalam sesuai amanat PP 71 Tahun 2019. Indonesia sendiri belum memiliki aturan soal perlindungan data pribadi karena draf RUU Perlindungan Data Pribadi (PDP) belum disahkan DPR. Payung hukum yang dimiliki hanya PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Dalam aturan tersebut, PSE atau penyelenggara sistem elektronik yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. Selain itu, PSE wajib menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi jika diketahui terjadi kegagalan perlindungan data pribadi.